Fuente base de datos: Wordfence Intelligence

Form Maker by 10Web <= 1.15.40 - Unauthenticated Stored Cross-Site Scripting via Matrix Field Text Box

PLUGIN HIGH CVE-2026-4388

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna.

Resumen ejecutivo

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Form Maker de 10Web, que afecta a versiones hasta la 1.15.40. Esta falla permite la ejecución de scripts maliciosos, lo que puede comprometer la seguridad de los usuarios y la integridad del sitio web.

Contexto técnico

El fallo se presenta en el campo de texto de la matriz del plugin, permitiendo la inyección de scripts sin autenticación. Esto significa que un atacante puede explotar esta vulnerabilidad sin necesidad de estar autenticado en el sistema.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la ejecución de código malicioso en el navegador de los usuarios, lo que podría llevar al robo de información sensible y a la pérdida de confianza en el sitio. La severidad de este fallo es alta, con un CVSS de 7.2.

Vector de explotación

Los atacantes pueden aprovechar esta vulnerabilidad enviando datos manipulados a través del campo de texto de la matriz, lo que permite la ejecución de scripts en el contexto del navegador del usuario.

Mitigación recomendada

Actualizar el plugin Form Maker a la versión 1.15.41 o superior. Realizar una auditoría de seguridad para identificar posibles exploits previos. Implementar medidas de seguridad adicionales, como la validación de entradas y la sanitización de datos.

Señales de detección

Monitorear los registros de acceso en busca de patrones inusuales en las solicitudes al campo de texto de la matriz y verificar configuraciones que permitan la inyección de scripts.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 1.15.41. No se han confirmado casos en versiones posteriores.

Vulnerabilidades relacionadas

HIGH PLUGIN

form-maker